IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Développeur informatique
    Inscrit en
    septembre 2014
    Messages
    194
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Algérie

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : septembre 2014
    Messages : 194
    Points : 12 283
    Points
    12 283
    Par défaut Mozilla déclare la guerre contre le HTTP non-sécurisé
    Mozilla déclare la guerre contre le HTTP non-sécurisé
    Et veut forcer les développeurs à migrer vers le protocole HTTPS

    Dans un billet de blog, Mozilla annonce son intention de marquer le protocole HTTP comme étant obsolète afin de privilégier l’utilisation du protocole HTTPS utilisant le cryptage lors du transfert de données pour assurer l’intégrité et une meilleure sécurité.

    Pour cela, Mozilla propose de définir une date après laquelle toute nouvelle fonctionnalité ne sera disponible qu’aux sites web utilisant le protocole sécurisé. Après cela, tous les autres sites se verront révoquer le droit d’utiliser certaines fonctions du navigateur, en particulier celles qui présentent des risques pour la sécurité et le respect de la vie privée des utilisateurs. Le but final de cet effort est d’envoyer un message d’alerte aux développeurs Web pour les inciter à adopter le protocole HTTPS partout sur leurs sites.

    Mais Mozilla veut aller plus loin en proposant cette stratégie au W3C à travers son groupe de travail responsable sur la sécurité des applications web. En effet, si une telle décision est adoptée par le groupe de standardisation international, l’initiative serait beaucoup plus efficace puisqu’elle serait coordonnée et adoptée par l’ensemble de la communauté web et en particulier par les autres navigateurs.

    Toutefois, après une discussion approfondie sur le sujet, la communauté active sur la liste de diffusion de Mozilla s’est mise d’accord sur la nécessité de bien étudier le compromis entre la sécurité et la compatibilité Web. Comme cité sur le billet de blog, « interdire des fonctionnalités pour les sites web non-sécurisés est susceptible de rompre le fonctionnement certains sites. Nous devons donc surveiller le degré de rupture et l'équilibrer avec les gains en termes de sécurité ». Une telle décision ne devrait donc pas être prise à la légère.

    D’autres propositions ont également été proposées sur la liste de diffusion de Mozilla telles que la limitation de la portée des cookies générés par les sites non sécurisés, ou encore la traduction automatique du schéma HTTP en HTTPS par le navigateur, ce qui permettrait aux internautes de visiter, en toute sécurité, des sites web utilisant encore le protocole obsolète.

    Source: Mozilla Blog

    Et vous ?

    Que pensez-vous de cette proposition ?
    Forcer les développeurs à utiliser le protocole HTTPS permettrait-il de mieux sécuriser le web ?

  2. #2
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 855
    Points
    4 855
    Billets dans le blog
    6
    Par défaut
    mais dite moi il sont près à payer les certificats SSL de tous les sites en nous sortant ça ?
    Rien, je n'ai plus rien de pertinent à ajouter

  3. #3
    Membre du Club
    Homme Profil pro
    Inscrit en
    février 2013
    Messages
    46
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : février 2013
    Messages : 46
    Points : 52
    Points
    52
    Par défaut
    Je n'approuve pas du tout.

    Pour commencer un certificat SSL est cher. Si, pour une entreprise, cela ne pose pas trop de problème, Mozilla ne devrait pas forcer les gens à en acheter un.

    Ensuite, certains sites n'en ont pas du tout besoin, au hasard : developpez.com , qui est en http, mais je m'en fiche car je n'ai aucune info sensible sur ce site.

    Mozilla veut forcer les développeurs à acheter un certificat SSL qui la plupart du temps sera inutile. Merci Mozilla.

    Et puis franchement : Bloquer des fonctionnalités sur les site http ? BLOQUER des fonctionnalités ? Donc il faudra débourser pour avoir ces fonctionnalités. Parfait. Nous aurons donc 2 versions du Web : Normal et Prenium. Je suis peut-être HS, mais : Depuis quand Mozilla applique une politique comme celle-ci ? On dirait Apple.

  4. #4
    Membre à l'essai
    Homme Profil pro
    Développeur Web
    Inscrit en
    janvier 2012
    Messages
    22
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : janvier 2012
    Messages : 22
    Points : 16
    Points
    16
    Par défaut
    Pareil, moi j'ai rien contre tout passer en https (quoique)... si j'ai pas à payer le coût exorbitants des certificats SSL, et à renouveler chaque année de plus !
    D'un autre coté, si les certificats deviennent gratuit, pas sûr que ce soit une bonne chose pour le sérieux des offres.

  5. #5
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 715
    Points : 1 042
    Points
    1 042
    Billets dans le blog
    9
    Par défaut
    Moi je me suis auto-certifier sur mon serveur dédié, bizarrement on pourrais croire que mon site est un site pirate (message d'alerte, barre d'adresse rouge...) alors que techniquement mon site et plus sécurisé qu'avec http uniquement.

    C'est un peu le monde a l'envers.


    En juillet, je crois que mozilla vas sortir un projet proposant de certifier ces site gratuitement, je me rappelle plus du nom, bref coïncidence ?

  6. #6
    Membre actif
    Homme Profil pro
    Étudiant
    Inscrit en
    avril 2009
    Messages
    389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : avril 2009
    Messages : 389
    Points : 234
    Points
    234
    Par défaut
    Effectivement, Mozilla ( et d'autres ) prévois de fournir des certif SSL gratuitement --> https://letsencrypt.org/
    (Le fournir reste a définir pour moi)

  7. #7
    Membre éprouvé Avatar de fenkys
    Profil pro
    Ingénieur développement logiciels
    Inscrit en
    octobre 2007
    Messages
    376
    Détails du profil
    Informations personnelles :
    Âge : 53
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : octobre 2007
    Messages : 376
    Points : 1 051
    Points
    1 051
    Par défaut
    Sans compter qu'il n'est pas sur que ton hébergeur fournisse une interface https.
    Il serait bon aussi de savoir quelles seraient les fonctionnalités Mozilla désire bloquer.

  8. #8
    Membre expérimenté
    Profil pro
    Inscrit en
    octobre 2005
    Messages
    910
    Détails du profil
    Informations personnelles :
    Âge : 41
    Localisation : France

    Informations forums :
    Inscription : octobre 2005
    Messages : 910
    Points : 1 614
    Points
    1 614
    Par défaut
    Si les sites en HTTP ne s'affichent plus correctement sous Firefox, c'est Firefox qui va perdre des parts de marché. Le seul moyen d'imposer ça serait que Google et Microsoft participent, mais ils ne voudront jamais.

  9. #9
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2007
    Messages
    2 132
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2007
    Messages : 2 132
    Points : 7 775
    Points
    7 775
    Par défaut
    Mozilla nous refait exactement la même chose qu'avec le DoNotTrack
    Au début, un discours ultra ferme (limite despotique) puis, quand la fondation se rend compte qu'elle ne fédère pas et qu'elle se retrouve un peu isolée, elle modère son propos pour finir par se ranger sur la même ligne que les autres

    Ce mode de communication me fait penser un peu à un roquet qui gueule très fort pour qu'on le remarque mais une fois que tous les regards se braquent sur lui, il part se planquer dans un coin la queue entre les jambes

    A noter que je critique uniquement la communication de la fondation et non pas la fondation en elle même
    Je suis plutôt de leur avis par ailleurs, le plus souvent en tout cas
    Par contre, je suis plus pragmatique (certains diront pessimiste) sur la façon de s'y prendre

    Rome ne s'est pas construite en 1 jour et pas avec 1 seul ouvrier

  10. #10
    En attente de confirmation mail
    Femme Profil pro
    pape n'aimant pas les censeurs
    Inscrit en
    janvier 2010
    Messages
    803
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Vatican

    Informations professionnelles :
    Activité : pape n'aimant pas les censeurs

    Informations forums :
    Inscription : janvier 2010
    Messages : 803
    Points : 1 384
    Points
    1 384
    Par défaut
    La vérité est que l'utilisateur "lambda" est de plus en plus la victime des géants du web (Google qui veut imposer le site merdique mais compatible mobile, Mozilla et sa croisade "https", etc), chacun veut tirer la couverture à soi en faisant une victime colatérale, les utilisateurs du web...

    Ces "géants" devraient ne pas oublier une chose: Leur succès est dû aux millions de "petits" qui commencent à en avoir marre de se faire imposer tous les 2 jours une nouvelle norme dont ils ne voient pas leur moindre intérêt perso!!!

  11. #11
    Membre confirmé
    Avatar de vinmar
    Homme Profil pro
    Développeur Web
    Inscrit en
    août 2012
    Messages
    139
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : Service public

    Informations forums :
    Inscription : août 2012
    Messages : 139
    Points : 520
    Points
    520
    Par défaut
    Citation Envoyé par NSKis Voir le message
    Ces "géants" devraient ne pas oublier une chose: Leur succès est dû aux millions de "petits" qui commencent à en avoir marre de se faire imposer tous les 2 jours une nouvelle norme dont ils ne voient pas leur moindre intérêt perso!!!
    C'est beau ce que tu dis mais je ne suis pas sûr que l'internaute moyen s'en préoccupe...
    M. Lebowski : Avez-vous un emploi, monsieur ?
    Le Duc : Un emploi ?
    M. Lebowski : Ne me dites pas que vous cherchez un emploi dans cette tenue un jour de semaine ?
    Le Duc : Un jour de… Quel jour on est ?

  12. #12
    Membre éprouvé Avatar de fenkys
    Profil pro
    Ingénieur développement logiciels
    Inscrit en
    octobre 2007
    Messages
    376
    Détails du profil
    Informations personnelles :
    Âge : 53
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : octobre 2007
    Messages : 376
    Points : 1 051
    Points
    1 051
    Par défaut
    Citation Envoyé par BugFactory Voir le message
    Si les sites en HTTP ne s'affichent plus correctement sous Firefox, c'est Firefox qui va perdre des parts de marché. Le seul moyen d'imposer ça serait que Google et Microsoft participent, mais ils ne voudront jamais.
    Je ne suis pas sûr que ce soit ça que cherche Mozilla. D'après ce que j'ai compris, Mozilla voudrait que le http soit limité au niveau de la norme par l'organisme adéquat et que par la suite tous les navigateurs s'y conforment.

  13. #13
    Membre expérimenté
    Profil pro
    Inscrit en
    octobre 2005
    Messages
    910
    Détails du profil
    Informations personnelles :
    Âge : 41
    Localisation : France

    Informations forums :
    Inscription : octobre 2005
    Messages : 910
    Points : 1 614
    Points
    1 614
    Par défaut
    Ce n'est pas ce que j'ai compris en lisant l'article, mais c'est vrai que ce serait plus logique. Ceci dit, je ne pense pas que Google approuve car ça gênerait la collecte de données. Vu le poids de Chrome, rien ne peut être fait sans leur accord.

  14. #14
    Futur Membre du Club
    Profil pro
    Inscrit en
    avril 2008
    Messages
    13
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2008
    Messages : 13
    Points : 9
    Points
    9
    Par défaut
    Mozilla entre dans le cercle des acteurs qui essayent de promouvoir des sites web plus sécurisés.

    Je reconnais que le HTTPS/SSL partout n'est pas forcément utile mais malgré tout ça peut être un plus.
    Surtout que même aujourd'hui on peut avoir des certificats SSL pour des sites persos ou petit site gratuitement (exemple http://www.startssl.com/)

    De plus ils veulent également mettre en place un moyen de certifications simple et gratuit...

    Envoyé par hannibal.76
    Effectivement, Mozilla ( et d'autres ) prévois de fournir des certif SSL gratuitement --> https://letsencrypt.org/
    Mais également on sait que Google s'est également lancé dans cette bataille...

    a+

  15. #15
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 855
    Points
    4 855
    Billets dans le blog
    6
    Par défaut
    le principal problème avec StartSSL c'est la méthode d'entrée à l'interface d'administration
    si tu à perdus le certificat qu'ils ton fournis à l'origine ou si tu à dépassé sa date de validité,
    ils te disent de refaire un compte, y compris pour leur services payants ou tu doit déjà payer pour faire vérifier ton identité;
    Au moins les services payants te propose la possibilité de récupérer ton compte
    Rien, je n'ai plus rien de pertinent à ajouter

  16. #16
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    novembre 2011
    Messages
    2 152
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 2 152
    Points : 7 099
    Points
    7 099
    Billets dans le blog
    3
    Par défaut
    Pour ma part, je plussoie au HTTPS partout. Les certificats ne coûtent rien en soit, ce sont les certificats délivrés par des entités reconnues qui coûtent. Chacun peut faire son propre certificat, la conséquence étant en revanche une notification de sécurité de la part du navigateur, ce qui est certes gênant mais en rien bloquant, comme l'a montré sazearte. Par contre, il est typique de voir de nouvelles technologies coûter cher et de voir ensuite leur prix diminuer avec l'industrialisation, or cela ne s'est pas vu pour les certificats HTTPS pour autant que je sache : les entités de certifications se font leur beurre et la techno n'arrive pas au particulier, acteur principal du Web. Le fait de forcer la main ne peut que supporter les initiatives visant à fournir des certificats fiables à tout un chacun, comme Let's Encrypt. Donc oui, je plussoie l'initiative de Mozilla sur ce point.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  17. #17
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 715
    Points : 1 042
    Points
    1 042
    Billets dans le blog
    9
    Par défaut
    Pour ma part, je plussoie au HTTPS partout. Les certificats ne coûtent rien en soit, ce sont les certificats délivrés par des entités reconnues qui coûtent. Chacun peut faire son propre certificat, la conséquence étant en revanche une notification de sécurité de la part du navigateur, ce qui est certes gênant mais en rien bloquant
    Je pense être bien placer pour te répondre, que NON!!!!

    Mon site est en https, je me suis auto certifier, résultat ?
    Les navigateurs ont des barre rouges de partout, certain n'affiche même pas le site complétement (opéra), il faut autoriser le js etc..., pour entrer dans mon site faut cliquer sur "Je prend le risque" dans firefox, et enfin la barre de navigation toute rouge, qui n'inspira pas vraiment confiance.

    Tu croit sincèrement qu'un utilisateur lambda qui n'y connait rien en info va aller sur mon site ?

  18. #18
    Membre expert
    Avatar de Spartacusply
    Homme Profil pro
    Développeur Web
    Inscrit en
    mai 2011
    Messages
    1 723
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2011
    Messages : 1 723
    Points : 3 274
    Points
    3 274
    Par défaut
    Un peu comme tout le monde, c'est plutôt une bonne idée si Mozilla fournit également des certificats SSL pas cher. "Pas cher" signifie pour moi le tarif d'un nom de domaine qui me semble être un prix raisonnable, j'ai peur que la gratuité nuise à la valeur donné à ce certificat.
    Bon ceci dit, si c'est ce qu'il font, je ne peux que plussoyer l'initiative.

    Les navigateurs ont des barre rouges de partout, certain n'affiche même pas le site complétement (opéra), il faut autoriser le js etc..., pour entrer dans mon site faut cliquer sur "Je prend le risque" dans firefox, et enfin la barre de navigation toute rouge, qui n'inspira pas vraiment confiance.
    Ben ouais, moi je trouve ça complètement normalement, le principe d'un certificat c'est qu'il soit signé par un tiers de confiance. Si cette condition n'est pas remplie il est complètement normal que le navigateur affiche une alerte à ce sujet puisque seul toi atteste assure que c'est bien toi (super comme garantie !)
    Un message utile vous a aidé ? N'oubliez pas le

    www.simplifions.fr - Simplifier vos comptes entre amis !

  19. #19
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    novembre 2011
    Messages
    2 152
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 2 152
    Points : 7 099
    Points
    7 099
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par sazearte Voir le message
    Mon site est en https, je me suis auto certifier, résultat ?
    Les navigateurs ont des barre rouges de partout, certain n'affiche même pas le site complétement (opéra), il faut autoriser le js etc..., pour entrer dans mon site faut cliquer sur "Je prend le risque" dans firefox, et enfin la barre de navigation toute rouge, qui n'inspira pas vraiment confiance.

    Tu croit sincèrement qu'un utilisateur lambda qui n'y connait rien en info va aller sur mon site ?
    Pour le coup du site incomplet, ça j'étais pas au courant. J'avais jamais eu ce problème pour le peu de fois où j'ai fais un site auto-certifié (et opéra je l'ai jamais utilisé). Pour le reste, cela dit, ça n'a rien de bloquant. Après on peut discuter de la probabilité qu'un utilisateur lambda continue sa navigation, mais là ça rentre dans le subjectif, donc je ne m'y aventurerai pas.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  20. #20
    Membre expérimenté Avatar de yann2
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mai 2004
    Messages
    897
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : mai 2004
    Messages : 897
    Points : 1 604
    Points
    1 604
    Par défaut
    Bonjour

    Citation Envoyé par Amine Horseman Voir le message
    D’autres propositions ont également été proposées sur la liste de diffusion de Mozilla telles que la limitation de la portée des cookies générés par les sites non sécurisés, ou encore la traduction automatique du schéma HTTP en HTTPS par le navigateur, ce qui permettrait aux internautes de visiter, en toute sécurité, des sites web utilisant encore le protocole obsolète.

    Ca veut dire quoi "la traduction automatique du schéma HTTP en HTTPS par le navigateur" ?

    De mon côté je ne vois pas trop l'intérêt de passer tout le web en https. Par contre si ce sont des fonctionnalités nécessitant de faire transiter des données sensibles, là, ok, pourquoi ne pas exiger du HTTPS

Discussions similaires

  1. Réponses: 2
    Dernier message: 01/09/2010, 10h36
  2. IIS + SSL, HTTPS non fonctionnel
    Par florianlyon dans le forum IIS
    Réponses: 1
    Dernier message: 02/06/2009, 16h02
  3. [Wamp] Entête HTTP non valide
    Par xunil2003 dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 2
    Dernier message: 23/03/2009, 14h31
  4. Réponses: 1
    Dernier message: 19/08/2008, 01h48
  5. Connexion FTP marche, HTTP non plus
    Par PhiberOptik dans le forum Ubuntu
    Réponses: 5
    Dernier message: 19/05/2008, 15h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo